我遇到了一些黑客的麻烦,他们入侵了我们的网站,所以我将我们的服务器克隆到一个新服务器,然后重置该服务器上的github。
我听说rsync可以找出2台服务器的不同之处。 rsync有可能吗?我可以将该文件列表导出到文本文件吗?
感谢您的帮助,使用旧版本的wordpress> _<在过去的几天里,我对此感到很疯狂。
答案 0 :(得分:1)
Marty的评论很好 - 所写的rsync命令将执行干运行(-n),以显示在$TARGET和{{1}之间添加/删除/更改的文件}}位置,以便您可以检查或区分它们以查看是否存在任何恶意代码。
此外,在我过去处理被黑客入侵的WordPress安装时,找到利用向量非常重要。通常情况下,PHP shell会通过一些不安全的脚本或插件上传,这会给攻击者一个基于命令的Web shell来查看文件和运行命令等。
要查找这些文件,以下命令很有用:
$SOURCE这可能会产生类似:
grep -E '(?:(shell_)?exec|system|eval)' /path/to/wordpress/* -R
在这种情况下,wpte.php: eval($_POST['p1']);
是一个恶意的PHP shell脚本,它被上传到我的一个客户端服务器,然后有人用来运行命令并上传更多文件。这些脚本通常使用一个或多个函数,如wpte.php或eval来运行从Web shell输入的命令。
从那里开始,您可以检查服务器访问日志中是否有针对恶意脚本的命中,然后进一步在日志中搜索访问该脚本的IP地址,以便可能找到上传脚本或其他命中资源的方式访问。